安全教育培訓計劃—安全生產教育培訓主要內容
從理論到實踐:設計成功的安全意識培訓計劃
網絡安全是一項團隊運動;從人力資源到財務再到 IT,每個人都發揮自己的作用。這就是為什么我從來不喜歡“人為錯誤”或“人類是你最薄弱的環節”這個詞。
這是真的嗎?大概。但如果這是一項團隊運動,大部分責任都應該落在教練身上。需要有人對您的員工進行教育,并為他們提供有效的知識和工具。要成為一名優秀的教練,您需要一個能夠推動真正的員工變革的安全意識培訓計劃。
我們剛剛向客戶詢問了他們的安全意識計劃,其中 90% 的人告訴我們,他們已經創建了一種“強大的網絡安全文化”,“使他們的組織更加安全和具有網絡彈性”。2021 年,85% 的違規行為涉及人為因素。2022年,這一比例為82%。今年,這一比例下降至 74%。
那么,創建安全意識計劃需要做什么?教練應該將哪些安全意識最佳實踐納入他們的計劃中?讓我們將其分為五個關鍵步驟。
安全意識培訓計劃的主要目標之一是轉變您的網絡安全文化。這就是為什么我們建議盡快進行安全文化調查。網絡釣魚率和培訓完成率等指標是很好的關鍵績效指標,但快速調查可以幫助量化整個組織中員工的看法——無論是在網絡意識計劃啟動之前還是之后。您可能會驚訝于您的組織中安全威脅意識的差異如此之大,這可以幫助您了解如何推出培訓計劃。
您還應該評估您當前的培訓工作以及您希望從未來的計劃中獲得什么。想想一個成功的計劃對您和您的領導團隊來說意味著什么。每個組織都是不同的。那些擁有敏感醫療數據的人與從事高等教育或電子商務工作的人有不同的要求和擔憂。不同的行業可能容易遭受不同的安全威脅,所有這些信息都應該告訴您如何設計能夠實現組織目標的安全意識培訓計劃。
現在您已經評估了組織中獨特的網絡安全因素,您可以創建適合所有員工需求的安全意識培訓計劃。創建計劃時需要記住以下幾點。
- 細分:培訓不是一刀切的。正如每個組織都有不同的需求一樣,每個部門也可能有不同的需求。銷售團隊面臨的網絡威脅可能與最高管理層面臨的網絡威脅不同。制定符合每位員工的角色要求、職責和當前安全意識水平的網絡意識計劃。
- 學習設計最佳實踐:培訓不一定是無聊的。它應該簡短、引人入勝且持續。研究表明,每年一次、長達一小時的培訓不如全年進行的微學習有效。使用直接適用于每位員工的現實生活場景,使培訓令人難忘且具有相關性。
- 游戲化:使用交互式培訓,無論是培訓模塊本身還是圍繞意識培訓的部分。競賽、排行榜和小額獎勵對提高參與度大有幫助。
- 語言:在決定培訓材料之前,請考慮組織成員使用哪些語言。跨國公司可能會通過每種語言提供的材料獲得更好的服務,而不是選擇不同語言的不同材料。
另外,不要忘記基礎知識。雖然安全意識計劃的某些部分可能涵蓋不同的主題,但有一些意識主題需要對所有員工進行培訓。我們將其稱為 NIST 核心行為,其中包括密碼安全、網絡釣魚攻擊、移動安全和社會工程等主題。
雖然您的安全意識計劃可能有明確的路徑,但有時您會遇到組織中其他人的一些阻力。存在多種原因,但從共同目標(步驟 1)開始是獲得初始部署支持的最有效方法之一。如果上級認為你的安全意識培訓計劃花費了太多時間或金錢,請使用真實數據來證明你的理由。例如,客戶報告稱,使用安全意識平臺后,網絡釣魚報告時間縮短了75%。這樣的改進會對您的安全工作產生什么影響?
如果他們似乎不重視整個組織范圍內的網絡安全工作,請解釋對公司聲譽的潛在損害如何可能在整個組織內引起連鎖反應。例如,IBM 數據泄露成本報告量化了數據泄露的 27 個不同成本因素,以幫助全面了解風險。
最后,請務必解釋您對組織安全文化的愿景以及您的目標如何與更大的業務目標保持一致。
現在您已經制定了經批準的安全意識培訓計劃,您必須與組織的人力資源經理或總監密切合作才能有效實施該計劃。他們可以幫助確保您的計劃成為所有員工的強制性計劃,而不僅僅是建議的活動。所有利益相關者也應全面了解該計劃。清楚地闡明該計劃的目標、節奏和全年將采取的步驟。這可以幫助您確保所有程序部分一致且清晰。
我們建議每月(或每季度,如果需要)進行培訓更新、定期溝通安全意識培訓最佳實踐(提供海報、電子郵件和其他資源以幫助強化每月的培訓)以及新的突出威脅的更新。您還可以定期使用模擬網絡釣魚攻擊來讓您的同事保持敏銳。
在不同部門尋找安全冠軍是另一個有效的策略。并不是每個人都會立即接受另一個培訓計劃。幫助將培訓放在首位,并充當網絡安全問題的關鍵人物。可以有效地將您的安全意識計劃從培訓轉變為真正的文化轉變。
跟蹤關鍵指標(從第 1 步開始)對于確定計劃是否成功以及決定何時進行更新或更改至關重要。為那些想要快速啟動的人 提供經過驗證的統包安全意識活動,但每個人都應該留出一些時間來定期評估您的計劃,并確保它能夠幫助您實現安全意識目標。
與其他安全意識計劃管理員建立聯系是提升培訓計劃水平的另一種好方法。不要試圖重新發明輪子。通過網絡研討會或通過您的 CSM 與 Infosec 社區中的其他人聯系,并利用他們的成果來添加到您的計劃中。
